信息技術(shù) 安全技術(shù) 抗抵賴 第2部分：采用對(duì)稱技術(shù)的機(jī)制

信息技術(shù)安全技術(shù)抗抵賴第2部分：采用對(duì)稱技術(shù)的機(jī)制范圍本部分規(guī)定了抗抵賴服務(wù)的通用結(jié)構(gòu)，以及一些特定的、與通信有關(guān)的抗抵賴機(jī)制，用于提供原發(fā)抗抵賴（NRO）與交付抗抵賴（NRD）等。本部分適用于信息系統(tǒng)中實(shí)現(xiàn)采用對(duì)稱技術(shù)的消息抗抵賴相關(guān)應(yīng)用的設(shè)計(jì)、實(shí)現(xiàn)與測(cè)試?？沟仲嚪?wù)旨在生成、收集、維護(hù)、利用和驗(yàn)證有關(guān)已聲稱事件或動(dòng)作的證據(jù)，以解決有關(guān)該事件或動(dòng)作已發(fā)生或未發(fā)生的爭(zhēng)議。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T15852（所有部分）信息技術(shù)安全技術(shù)消息鑒別碼GB/T17903.1信息技術(shù)安全技術(shù)抗抵賴第1部分：概述GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)術(shù)語(yǔ)和定義GB/T17903.1中定義的以及下列術(shù)語(yǔ)和定義適用于本文件。密碼校驗(yàn)函數(shù)cryptographiccheckfunction以秘密密鑰和任意字符串作為輸入，并以密碼校驗(yàn)值作為輸出的密碼變換。不知道秘密密鑰就不可能正確計(jì)算校驗(yàn)值。[GB/T25069-2010，定義2.2.2.101]數(shù)據(jù)完整性dataintegrity數(shù)據(jù)沒(méi)有遭受以未授權(quán)方式所作的更改或破壞的特性。[GB/T25069-2010，定義2.1.36]證據(jù)生成者evidencegenerator產(chǎn)生抗抵賴證據(jù)的實(shí)體。[GB/T18794.4，定義3.4.4]雜湊函數(shù)hashfunction將比特串映射為固定長(zhǎng)度的比特串的函數(shù)，該函數(shù)滿足下列兩特性：對(duì)于給定輸出，找出映射為該輸出的輸入，在計(jì)算上是不可行的；對(duì)于給定輸入，找出映射為同一輸出的第二個(gè)輸入，在計(jì)算上是不可行的。計(jì)算上的可行性取決于特定安全要求和環(huán)境。在本部分中，雜湊函數(shù)的輸出的比特串稱為雜湊碼。[GB/T25069-2010，定義2.2.2.166]密鑰key一種用于控制密碼變換操作（例如加密、解密、密碼校驗(yàn)函數(shù)計(jì)算、簽名生成或簽名驗(yàn)證）的符號(hào)序列。[GB/T25069-2010，定義2.2.2.106]消息鑒別碼算法MACalgorithm一種帶密鑰的密碼算法，用于將比特串和秘密密鑰映射為定長(zhǎng)比特串的函數(shù)，并滿足以下兩種性質(zhì)：對(duì)任意密鑰和任意輸入串，該函數(shù)都能有效進(jìn)行計(jì)算；對(duì)任一固定的密鑰，該密鑰在未知情況下，即便已知輸入串集合中的第i個(gè)輸入串和對(duì)應(yīng)的函數(shù)值，且串集合中的第i個(gè)輸入串值在觀測(cè)前面的第i-1個(gè)函數(shù)值之后可能已經(jīng)選定，要算出該函數(shù)對(duì)任意新輸入串的值在計(jì)算上是不可行的。[GB/T25069-2010，定義2.2.2.201]消息鑒別碼messageauthenticationcodeMAC消息鑒別碼算法的輸出的比特串。[GB/T25069-2010，定義2.2.2.200]秘密密鑰secretkey用于對(duì)稱密碼技術(shù)中的一種密鑰，并僅有一組規(guī)定實(shí)體所使用。[GB/T25069-2010，定義2.2.2.90]安全策略securitypolicy用于治理組織及其系統(tǒng)內(nèi)在安全上如何管理、保護(hù)和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)和實(shí)踐，特別是那些對(duì)系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。[GB/T25069-2010，定義2.3.2]時(shí)間戳time-stamp包含通用時(shí)間源，描述某個(gè)時(shí)間點(diǎn)的時(shí)間變量參數(shù)。時(shí)間戳機(jī)構(gòu)time-stampauthority提供時(shí)間戳服務(wù)的可信第三方?？s略語(yǔ)下列縮略語(yǔ)適用于本文件。DA：交付機(jī)構(gòu)(DeliveryAuthority)GNRT：通用抗抵賴權(quán)標(biāo)(GenericNon-RepudiationToken)NRD：交付抗抵賴(Non-RepudiationofDelivery)NRDT：交付抗抵賴權(quán)標(biāo)(Non-RepudiationofDeliveryToken)NRO：原發(fā)抗抵賴(Non-RepudiationofOrigin)NROT：原發(fā)抗抵賴權(quán)標(biāo)(Non-RepudiationofOriginToken)Pol：抗抵賴策略(Non-Repudiationpolicy)PON：肯定或否定，驗(yàn)證過(guò)程的結(jié)果(PositiveOrNegative)SENV：安全信封(SecureENVelope)TSA：可信時(shí)間戳機(jī)構(gòu)(trustedTimeStampAuthority)TST：時(shí)間戳權(quán)標(biāo)(Time-StampingToken)TTP：可信第三方(TrustedThirdParty)符號(hào)GB/T17903.1中定義的以及下列符號(hào)適用于本部分：a僅為實(shí)體A和可信第三方（TTP）所知的密鑰b僅為實(shí)體B和可信第三方（TTP）所知的密鑰da交付機(jī)構(gòu)（DA）的密鑰MACX(y)使用實(shí)體X的私密密鑰對(duì)數(shù)據(jù)y計(jì)算得到的消息鑒別碼ttp僅為TTP所知的密鑰，用于生成抗抵賴權(quán)標(biāo)Pol應(yīng)用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識(shí)符SENV(.)用來(lái)計(jì)算安全信封的函數(shù)TSATSA的可區(qū)分標(biāo)識(shí)符TTPTTP的可區(qū)分標(biāo)識(shí)符(y,z)y和z按順序的連接z1由提供NRO權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段z2由提供NRD權(quán)標(biāo)的有關(guān)數(shù)據(jù)字段組成的數(shù)據(jù)字段要求本部分中，凡涉及密碼算法的相關(guān)內(nèi)容，按國(guó)家有關(guān)法規(guī)實(shí)施；凡涉及到采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的須遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。本部分中規(guī)定的機(jī)制均應(yīng)滿足以下通用要求：使用抗抵賴機(jī)制的各相關(guān)實(shí)體應(yīng)能夠獨(dú)立與DA、TSA或TTP進(jìn)行通信；如果兩個(gè)實(shí)體使用本部分中規(guī)定的某個(gè)抗抵賴機(jī)制，雙方應(yīng)信任同一個(gè)第三方；在使用本部分規(guī)定的抗抵賴機(jī)制前，每個(gè)實(shí)體均應(yīng)與DA、TSA或TTP建立一個(gè)共享的對(duì)稱密鑰。此外，每個(gè)DA、TSA或TTP實(shí)體均應(yīng)持有一個(gè)僅為自己所知的密鑰；密鑰管理、密鑰生成及密鑰建立機(jī)制可參見(jiàn)GB/T17901.1等相關(guān)的國(guó)家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn)及ISO/IEC11770。抗抵賴服務(wù)中的所有實(shí)體應(yīng)共享一個(gè)公共函數(shù)Imp；為創(chuàng)建安全信封而選取的MAC函數(shù)應(yīng)為抗抵賴服務(wù)的所有參與者所持有；生成抗抵賴權(quán)標(biāo)的TTP應(yīng)能夠訪問(wèn)時(shí)間和日期。本部分規(guī)定的抗抵賴機(jī)制的強(qiáng)度依賴于所使用的密碼學(xué)機(jī)制和參數(shù)的安全級(jí)別和強(qiáng)度。本部分不規(guī)定抗抵賴機(jī)制中數(shù)據(jù)項(xiàng)的具體傳輸機(jī)制，抗抵賴機(jī)制的使用者可根據(jù)業(yè)務(wù)的安全需求來(lái)選擇適當(dāng)?shù)臋C(jī)制，以確保使用抗抵賴機(jī)制的各實(shí)體間可以對(duì)數(shù)據(jù)項(xiàng)進(jìn)行一致的解析。安全信封共享一個(gè)秘密密鑰的兩個(gè)實(shí)體（該密鑰僅為這兩個(gè)實(shí)體所知）可以使用一種稱為安全信封（SENV）的數(shù)據(jù)完整性校驗(yàn)方法來(lái)相互傳遞消息。SENV可以通過(guò)使用實(shí)體的秘密密鑰來(lái)產(chǎn)生，用于保護(hù)輸入數(shù)據(jù)項(xiàng)。此外，SENV也可以由TTP使用僅為TTP持有的秘密密鑰來(lái)產(chǎn)生，用于生成和驗(yàn)證證據(jù)。下面使用對(duì)稱的完整性技術(shù)來(lái)創(chuàng)建安全信封。實(shí)體X的秘密密鑰x用于計(jì)算密碼校驗(yàn)值MACX(y)，該值附加在數(shù)據(jù)的后面，即：SENVX(y)=(y,MACX(y))其中MACX(y)應(yīng)為滿足GB/T15852要求的消息鑒別碼。本部分規(guī)定的安全信封的強(qiáng)度依賴于所使用的密碼學(xué)機(jī)制和參數(shù)的安全級(jí)別和強(qiáng)度，抗抵賴機(jī)制的使用者可根據(jù)業(yè)務(wù)的安全需求來(lái)選擇適當(dāng)?shù)臋C(jī)制，GB/T15852中給出了各種消息鑒別碼機(jī)制安全性的說(shuō)明?？沟仲嚈?quán)標(biāo)的生成與驗(yàn)證TTP創(chuàng)建權(quán)標(biāo)在本章描述的抗抵賴機(jī)制中，TTP擔(dān)當(dāng)證據(jù)生成和證據(jù)驗(yàn)證機(jī)構(gòu)的角色。TTP可信賴地維護(hù)特定記錄的完整性并直接參與解決爭(zhēng)議。TTP頒發(fā)與消息m相應(yīng)的“權(quán)標(biāo)”。權(quán)標(biāo)包括一個(gè)安全信封，由TTP使用其秘密密鑰作用于該消息所確定的數(shù)據(jù)而形成。因?yàn)槠渌鼘?shí)體都不知道秘密密鑰ttp，TTP是唯一可以創(chuàng)建或者驗(yàn)證權(quán)標(biāo)的實(shí)體。在GB/T17903.1中，通用抗抵賴權(quán)標(biāo)（GNRT）定義如下：GNRT=(text,SENVX(y))在本場(chǎng)景中，即：GNRT=(text,SENVTTP(y))此外，在發(fā)布權(quán)標(biāo)之前，TTP應(yīng)檢查證據(jù)請(qǐng)求中的數(shù)據(jù)項(xiàng)。消息m可以是明文或密文。text為文本域，包括一些不需要密碼學(xué)保護(hù)但在計(jì)算完整性校驗(yàn)值MAC和安全信封SENV時(shí)要用到的，或用于標(biāo)識(shí)消息和密鑰的附加數(shù)據(jù)（如消息標(biāo)識(shí)符或密鑰標(biāo)識(shí)符）。本信息依賴于所使用的技術(shù)。抗抵賴機(jī)制使用的數(shù)據(jù)項(xiàng)安全信封使用的數(shù)據(jù)項(xiàng)在本部分描述的抗抵賴機(jī)制中，將對(duì)安全信封SENVX(z)=(z,MACX(z))進(jìn)行交換，下列數(shù)據(jù)字段構(gòu)成了該安全信封的內(nèi)容：z=(Pol,fI,A,B,C,D,E,TG,Ti,Q,Imp(m))數(shù)據(jù)域z中包含的數(shù)據(jù)項(xiàng)定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識(shí)符fi 提供的抗抵賴服務(wù)的類型A 原發(fā)實(shí)體的可區(qū)分標(biāo)識(shí)符B 與原發(fā)實(shí)體進(jìn)行交互的實(shí)體的可區(qū)分標(biāo)識(shí)符C 證據(jù)生成者的可區(qū)分標(biāo)識(shí)符D 證據(jù)請(qǐng)求者的可區(qū)分標(biāo)識(shí)符，如果證據(jù)請(qǐng)求者與原發(fā)實(shí)體不同E 動(dòng)作涉及到的其他實(shí)體的可區(qū)分標(biāo)識(shí)符TG 證據(jù)生成的日期與時(shí)間Ti 事件或動(dòng)作發(fā)生的日期與時(shí)間Q 需要保護(hù)的可選數(shù)據(jù)Imp(m) 與動(dòng)作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身在本部分中，根據(jù)抗抵賴服務(wù)的不同，i的值為1（原發(fā)抗抵賴）或2（交付抗抵賴）.抗抵賴權(quán)標(biāo)使用的數(shù)據(jù)項(xiàng)抗抵賴權(quán)標(biāo)包括一個(gè)文本域text與一個(gè)安全信封，定義如下：抗抵賴權(quán)標(biāo)=(text,SENVTTP(z))文本域包括一些不需要密碼學(xué)保護(hù)但在計(jì)算完整性校驗(yàn)值MAC和安全信封SENV時(shí)要用到的，或用于標(biāo)識(shí)消息和密鑰的附加數(shù)據(jù)（如消息標(biāo)識(shí)符或密鑰標(biāo)識(shí)符）。本信息依賴于所使用的技術(shù)?？沟仲嚈?quán)標(biāo)證據(jù)提供證據(jù)通常由抗抵賴權(quán)標(biāo)提供，如果策略要求，也可以由附加權(quán)標(biāo)提供，例如：時(shí)間戳權(quán)標(biāo)（TST）、或由另一個(gè)可信的第四方（如公證人）提供的對(duì)事件和動(dòng)作以及消息的存在性給予附加保證的權(quán)標(biāo)等。如果可信第三方可以獨(dú)自生成可信時(shí)間戳，則不需要增加TST作為證據(jù)。抗抵賴權(quán)標(biāo)（NROT、NRDT）中包含的時(shí)間可認(rèn)為是安全可靠的，因?yàn)樗怯煽尚艡C(jī)構(gòu)提供的。如果可信第三方（TTP、DA）不能提供可信時(shí)間戳，那么抗抵賴集合中就需要增加由可信時(shí)間戳機(jī)構(gòu)（TSA）提供的TST以完成證據(jù)。原發(fā)抗抵賴權(quán)標(biāo)原發(fā)抗抵賴權(quán)標(biāo)（NROT）由TTP應(yīng)原發(fā)者的請(qǐng)求而創(chuàng)建，其格式如下：NROT=(text,z1,MACTTP(z1))，其中z1=(Pol,f1,A,B,C,D,TG,T1,Q,Imp(m))NROT所需信息z1中包含的數(shù)據(jù)項(xiàng)定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識(shí)符f1 原發(fā)抗抵賴服務(wù)的標(biāo)記A 原發(fā)者的可區(qū)分標(biāo)識(shí)符B 預(yù)定接收者的可區(qū)分標(biāo)識(shí)符C 生成證據(jù)的TTP的可區(qū)分標(biāo)識(shí)符D 觀察者的可區(qū)分標(biāo)識(shí)符，如果存在獨(dú)立觀察者TG 證據(jù)生成的日期與時(shí)間T1 消息原發(fā)的日期與時(shí)間Q 需要保護(hù)的可選數(shù)據(jù)Imp(m) 與動(dòng)作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身交付抗抵賴權(quán)標(biāo)交付抗抵賴權(quán)標(biāo)（NRDT）由TTP應(yīng)接收者的請(qǐng)求而創(chuàng)建，其格式如下：NRDT=(text,z2,MACTTP(z2))，其中z2=(Pol,f2,A,B,C,D,TG,T2,Q,Imp(m))NRDT所需信息z2中包含的數(shù)據(jù)項(xiàng)定義如下：Pol 適用于證據(jù)的抗抵賴策略的可區(qū)分標(biāo)識(shí)符f2 交付抗抵賴服務(wù)的標(biāo)記A 原發(fā)者的可區(qū)分標(biāo)識(shí)符B 接收者的可區(qū)分標(biāo)識(shí)符C TTP的可區(qū)分標(biāo)識(shí)符D 觀察者的可區(qū)分標(biāo)識(shí)符，如果存在獨(dú)立觀察者TG 證據(jù)生成的日期與時(shí)間T2 消息交付的日期與時(shí)間Q 需要保護(hù)的可選數(shù)據(jù)Imp(m) 與動(dòng)作有關(guān)的消息m的印記，即1）m的雜湊碼，或2）m本身時(shí)間戳權(quán)標(biāo)時(shí)間戳權(quán)標(biāo)TST可由可信時(shí)間戳機(jī)構(gòu)（TSA）使用GB/T20520中的方法生成。TTP進(jìn)行的權(quán)標(biāo)驗(yàn)證驗(yàn)證過(guò)程在抗抵賴交換過(guò)程的某個(gè)環(huán)節(jié)上，可能需要TTP對(duì)實(shí)體的權(quán)標(biāo)（如上定義所示）進(jìn)行驗(yàn)證。在交換完成以后的某個(gè)時(shí)刻，也可能需要再次驗(yàn)證權(quán)標(biāo)，或者向第四方提供證據(jù)以證明其真實(shí)性。驗(yàn)證過(guò)程不僅要檢驗(yàn)權(quán)標(biāo)是否由TTP創(chuàng)建，而且要檢驗(yàn)權(quán)標(biāo)是否與消息的數(shù)據(jù)字段確切相關(guān)。為了驗(yàn)證權(quán)標(biāo)是否為給定的消息而創(chuàng)建，實(shí)體把由消息計(jì)算而得的Imp(m)與數(shù)據(jù)字段z中包括的Imp(m)進(jìn)行比較，然后要求TTP對(duì)權(quán)標(biāo)及其數(shù)據(jù)字段進(jìn)行驗(yàn)證。為了驗(yàn)證由對(duì)稱完整性技術(shù)生成的安全信封，應(yīng)進(jìn)行如下操作：使用實(shí)體X的相應(yīng)秘密密鑰x對(duì)安全信封中包含的數(shù)據(jù)y重新計(jì)算密碼校驗(yàn)值MACX(y)，然后把結(jié)果與所提供的密碼校驗(yàn)值進(jìn)行比較。TTP應(yīng)使用8.4.2與8.4.3中定義的兩種驗(yàn)證方法之一進(jìn)行驗(yàn)證。在線權(quán)標(biāo)驗(yàn)證本方法中，TTP使用包含秘密密鑰ttp的安全模塊來(lái)驗(yàn)證權(quán)標(biāo)。安全模塊將該權(quán)標(biāo)與使用數(shù)據(jù)項(xiàng)zi和秘密密鑰ttp在其內(nèi)部生成的值進(jìn)行比較，并返回比較結(jié)果，該結(jié)果決定了權(quán)標(biāo)是否有效。由于密鑰ttp不為TTP之外的任何人所知，如果安全模塊返回的結(jié)果表明該權(quán)標(biāo)是有效的，那么所驗(yàn)證的權(quán)標(biāo)也可以認(rèn)為是真實(shí)可信的。權(quán)標(biāo)表本方法中，TTP發(fā)布的所有權(quán)標(biāo)儲(chǔ)存在一張表中。對(duì)每個(gè)已創(chuàng)建的權(quán)標(biāo)，TTP記錄下權(quán)標(biāo)和相關(guān)的數(shù)據(jù)字段（zi）以及秘密密鑰ttp的密鑰標(biāo)識(shí)符。要驗(yàn)證一個(gè)權(quán)標(biāo)，TTP把該權(quán)標(biāo)作為索引在標(biāo)準(zhǔn)查找。如果在表中能夠找到要驗(yàn)證的權(quán)標(biāo)，而且該權(quán)標(biāo)所帶的數(shù)據(jù)字段（即權(quán)標(biāo)的一部分）與表中對(duì)應(yīng)的數(shù)據(jù)字段相符，則認(rèn)為該權(quán)標(biāo)是真實(shí)可信的。特定抗抵賴機(jī)制抗抵賴機(jī)制本章規(guī)定的抗抵賴機(jī)制支持生成下列抗抵賴證據(jù)：原發(fā)抗抵賴（NRO）、交付抗抵賴（NRD）。另外，本章定義了時(shí)間戳的生成機(jī)制。當(dāng)實(shí)體A想要向?qū)嶓wB發(fā)送消息，則實(shí)體A稱為抗抵賴傳輸?shù)脑l(fā)者，實(shí)體B稱為接收者。本章規(guī)定的抗抵賴機(jī)制的實(shí)例可參見(jiàn)附錄A。8章所描述的某些機(jī)制中，使用到了數(shù)據(jù)字段zi。這一數(shù)據(jù)字段除了不包含時(shí)間信息外與抗抵賴權(quán)標(biāo)中的zi數(shù)據(jù)字段完全一致。時(shí)間信息由TTP（或DA）提供，或者由可信時(shí)間戳機(jī)構(gòu)應(yīng)TTP（或DA）的請(qǐng)求而提供。當(dāng)Imp(m)即消息m本身時(shí)，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗(yàn)證Imp(m)的步驟也可省略。原發(fā)抗抵賴機(jī)制步驟與機(jī)制原發(fā)者創(chuàng)建了一條消息并發(fā)送給特定的接收者。接收者使用TTP來(lái)驗(yàn)證與之相關(guān)的原發(fā)抗抵賴權(quán)標(biāo)，從而檢驗(yàn)該消息來(lái)源于其聲稱的發(fā)送者。本機(jī)制包含三個(gè)步驟：第一步，原發(fā)者構(gòu)造數(shù)據(jù)并封裝入SENV發(fā)送給TTP。TTP生成原發(fā)抗抵賴權(quán)標(biāo)（NROT）并返回給A；第二步，原發(fā)者A將NROT與消息m發(fā)送給接收者B；第三步，接收者把安全信封中封裝的NROT發(fā)送給TTP進(jìn)行驗(yàn)證。原發(fā)抗抵賴在第三步建立。權(quán)標(biāo)生成步驟1—原發(fā)者A與TTP間實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體A把安全信封發(fā)送給TTP以請(qǐng)求NROT；TTP驗(yàn)證安全信封來(lái)自實(shí)體A。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp計(jì)算：NROT=(text,z1,MACA(z1))然后將SENVA（NROT）返回給A；實(shí)體A驗(yàn)證SENVA（NROT）來(lái)自TTP，且其中的z1內(nèi)容與z1’相一致。步驟2—原發(fā)者A到接收者B實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實(shí)體B執(zhí)行以下驗(yàn)證操作：校驗(yàn)z1中的策略Pol滿足其安全要求；校驗(yàn)z1中的f1標(biāo)示了原發(fā)抗抵賴權(quán)標(biāo)；校驗(yàn)標(biāo)識(shí)符A,B,C有效；校驗(yàn)標(biāo)識(shí)符D為實(shí)際存在的獨(dú)立觀察者；校驗(yàn)時(shí)間TG與T1的正確性；校驗(yàn)z1中Imp(m)值的正確性。實(shí)體B使用密鑰b生成SENVB(NROT)并發(fā)送給TTP，要求驗(yàn)證來(lái)自A的NROT；TTP驗(yàn)證SENVB(NROT)來(lái)自B，并驗(yàn)證NROT是真實(shí)可信的。如果SENVB(NROT)是有效的，TTP向B發(fā)送SENVB((PON,NROT))，其中：如果NROT是真實(shí)可信的，PON為肯定，如果NROT不可信，則PON為否定；實(shí)體B檢驗(yàn)SENVB((PON,NROT))來(lái)自TTP；若檢驗(yàn)通過(guò)，并且驗(yàn)證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴（即，消息來(lái)自A）；儲(chǔ)存NROT以供將來(lái)原發(fā)抗抵賴使用。權(quán)標(biāo)驗(yàn)證若證據(jù)使用者B在未來(lái)的某時(shí)刻需要再次驗(yàn)證NROT的真實(shí)可信性，則其可以單獨(dú)執(zhí)行9.2.2.3節(jié)中規(guī)定的步驟3來(lái)完成驗(yàn)證。交付抗抵賴機(jī)制步驟與機(jī)制本機(jī)制包含三個(gè)步驟：第一步，實(shí)體B在接收到消息m后，向TTP發(fā)送請(qǐng)求以要求生產(chǎn)交付抗抵賴權(quán)標(biāo)，該請(qǐng)求封裝在安全信封中，TTP生成交付抗抵賴權(quán)標(biāo)（NRDT），并返回給接收者B；第二步，接收者B將NRDT發(fā)送給原發(fā)者A；第三步，原發(fā)者將NRDT封裝在安全信封發(fā)送給TTP進(jìn)行驗(yàn)證。交付抗抵賴在第三步建立。權(quán)標(biāo)生成步驟1—接收者B與TTP間實(shí)體B使用密鑰b生成安全信封SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把安全信封發(fā)送給TTP以請(qǐng)求NRDT；TTP驗(yàn)證安全信封來(lái)自實(shí)體B。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并使用密鑰ttp計(jì)算：NRDT=(text,z2,MACB(z2))然后將SENVB（NRDT）返回給B；實(shí)體B驗(yàn)證SENVB（NRDT）來(lái)自TTP，且其中的z2內(nèi)容與z2’相一致。步驟2—接收者B到原發(fā)者A實(shí)體B向?qū)嶓wA發(fā)送：NRDT。步驟3—原發(fā)者A與TTP間實(shí)體A執(zhí)行以下驗(yàn)證操作：校驗(yàn)z2中的策略Pol滿足其安全要求；校驗(yàn)z2中的f2標(biāo)示了交付抗抵賴權(quán)標(biāo)；校驗(yàn)標(biāo)識(shí)符A,B,C有效；校驗(yàn)標(biāo)識(shí)符D為實(shí)際存在的獨(dú)立觀察者；校驗(yàn)時(shí)間TG與T2的正確性；校驗(yàn)z2中Imp(m)值的正確性。實(shí)體A使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗(yàn)證來(lái)自B的NRDT；TTP驗(yàn)證SENVA(NRDT)來(lái)自A，并驗(yàn)證NRDT是真實(shí)可信的。如果SENVA(NRDT)是有效的，TTP向A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實(shí)可信的，PON為肯定，如果NROT不可信，則PON為否定；實(shí)體A檢驗(yàn)SENVA((PON,NRDT))來(lái)自TTP；若檢驗(yàn)通過(guò)，并且驗(yàn)證結(jié)果PON為肯定，則建立了交付抗抵賴；儲(chǔ)存NRDT以供將來(lái)交付抗抵賴使用。權(quán)標(biāo)驗(yàn)證若證據(jù)使用者A在未來(lái)的某時(shí)刻需要再次驗(yàn)證NRDT的真實(shí)可信性，則其可以單獨(dú)執(zhí)行9.3.2.3節(jié)中規(guī)定的步驟3來(lái)完成驗(yàn)證。獲取時(shí)間戳權(quán)標(biāo)的機(jī)制當(dāng)可信時(shí)間源被請(qǐng)求且權(quán)標(biāo)生成方的時(shí)鐘無(wú)法被信任時(shí)，需要依賴于可信第三方的TSA來(lái)提供可信時(shí)間戳。實(shí)體X（請(qǐng)求者）與TSA之間獲取時(shí)間戳的通信可參見(jiàn)GB/T20520。（資料性附錄）抗抵賴機(jī)制實(shí)例原發(fā)抗抵賴與交付抗抵賴機(jī)制實(shí)例本附錄所示的抗抵賴機(jī)制可在實(shí)體A和B之間提供原發(fā)抗抵賴和交付抗抵賴。實(shí)體A欲向?qū)嶓wB發(fā)送消息，于是成為抗抵賴交換的原發(fā)者。作為消息的接收方，實(shí)體B就是接收者。在使用下列機(jī)制之前，假設(shè)實(shí)體A和實(shí)體B分別持有密鑰a和b，TTP除了擁有自己的密鑰ttp以外，還持有密鑰a和b。下面給出了使用在線TTP的三種不同的抗抵賴機(jī)制（M1、M2和M3）。通過(guò)在SENV消息中包含時(shí)間戳或序列號(hào)，可以防止未授權(quán)延遲或消息重放。通過(guò)在NROT和NRDT中包含時(shí)間戳，可進(jìn)一步驗(yàn)證消息傳輸時(shí)的時(shí)間戳。當(dāng)Imp(m)即消息m本身時(shí)，不必將m與權(quán)標(biāo)一起發(fā)送，并且驗(yàn)證Imp(m)的步驟也可省略。機(jī)制M1：強(qiáng)制NRO，可選NRD機(jī)制M1的步驟機(jī)制M1見(jiàn)圖A.1，共包含5個(gè)步驟，在兩個(gè)實(shí)體與TTP之間通過(guò)3個(gè)步驟建立原發(fā)抗抵賴，如果繼續(xù)可選的NRD步驟（根據(jù)接收者的決定），那么可通過(guò)再執(zhí)行2個(gè)步驟建立交付抗抵賴。盡管是否繼續(xù)進(jìn)行交付抗抵賴的步驟取決于接收者，但要注意，一旦建立了交付抗抵賴，這一可選的交付抗抵賴就完全綁定了。本機(jī)制可以提供原發(fā)抗抵賴并可選地提供交付抗抵賴。該協(xié)議的用法（僅提供原發(fā)抗抵賴或同時(shí)提供原發(fā)抗抵賴和交付抗抵賴）由發(fā)送者A、接收者B和TTP在具體協(xié)議執(zhí)行前商定。步驟1—原發(fā)者A與TTP間實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體A把安全信封發(fā)送給TTP以請(qǐng)求NROT；TTP驗(yàn)證安全信封來(lái)自實(shí)體A。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp計(jì)算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實(shí)體A驗(yàn)證SENVA（NROT）來(lái)自TTP。機(jī)制M1步驟2—原發(fā)者A到接收者B實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實(shí)體B驗(yàn)證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證來(lái)自A的NROT并請(qǐng)求生成NRDT；TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來(lái)自實(shí)體B。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計(jì)算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)與NROT均是真實(shí)可信的，則TTP使用密鑰ttp計(jì)算并向B發(fā)送SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密鑰ttp計(jì)算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；實(shí)體B檢驗(yàn)SENVB((PON,NROT,NRDT))來(lái)自TTP；若檢驗(yàn)通過(guò)，并且驗(yàn)證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴（即，消息來(lái)自A）；儲(chǔ)存NROT以供將來(lái)原發(fā)抗抵賴使用。步驟4—接收者B到原發(fā)者A實(shí)體B向?qū)嶓wA發(fā)送：NRDT。步驟5—原發(fā)者A與TTP間實(shí)體A校驗(yàn)z2中Imp(m)值的正確性。然后使用密鑰a生成SENVA(NRDT)并發(fā)送給TTP，要求驗(yàn)證來(lái)自B的NRDT；TTP驗(yàn)證SENVA(NRDT)來(lái)自A，并驗(yàn)證NRDT是真實(shí)可信的。如果SENVA(NRDT)是有效的，TTP向A發(fā)送SENVA((PON,NRDT))，其中：如果NRDT是真實(shí)可信的，PON為肯定，如果NROT不可信，則PON為否定；實(shí)體A檢驗(yàn)SENVA((PON,NRDT))來(lái)自TTP；若檢驗(yàn)通過(guò)，并且驗(yàn)證結(jié)果PON為肯定，則建立了交付抗抵賴；實(shí)體A儲(chǔ)存NRDT以供將來(lái)交付抗抵賴使用。機(jī)制M2：強(qiáng)制NRO，強(qiáng)制NRD機(jī)制M2的步驟機(jī)制M2機(jī)制M2見(jiàn)圖A.2，在兩個(gè)實(shí)體與TTP之間通過(guò)4個(gè)步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機(jī)制中，TTP在向B發(fā)送消息收據(jù)的同時(shí)，直接通過(guò)SENV把它發(fā)送給A。步驟1—原發(fā)者A與TTP間實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體A把安全信封發(fā)送給TTP以請(qǐng)求NROT；TTP驗(yàn)證安全信封來(lái)自實(shí)體A。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp計(jì)算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實(shí)體A驗(yàn)證SENVA（NROT）來(lái)自TTP。步驟2—原發(fā)者A到接收者B實(shí)體A向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間實(shí)體B驗(yàn)證z1中Imp(m)值的正確性。然后使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證來(lái)自A的NROT并請(qǐng)求生成NRDT；TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來(lái)自實(shí)體B。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計(jì)算：NRDT=(text,z2,MACTTP(z2))如果SENVB(NROT)與NROT均是真實(shí)可信的，則TTP使用密鑰ttp計(jì)算并向B發(fā)送SENVB((PON,NROT,NRDT))，其中PON為肯定。如果SENVB(NROT)有效但NROT不可信，TTP使用密鑰ttp計(jì)算并向B發(fā)送SENVB((PON,NROT))，其中PON為否定；實(shí)體B檢驗(yàn)SENVB((PON,NROT,NRDT))來(lái)自TTP；若檢驗(yàn)通過(guò)，并且驗(yàn)證結(jié)果PON為肯定，則建立了原發(fā)抗抵賴；儲(chǔ)存NROT以供將來(lái)原發(fā)抗抵賴使用。步驟4—原發(fā)者A與TTP間在步驟3中向B發(fā)送NRDT之后，TTP立即向A發(fā)送SENVA(NRDT)。實(shí)體A檢驗(yàn)SENVA(NRDT)與NRDT；若檢驗(yàn)通過(guò)，則建立了交付抗抵賴（即，消息被B接收）；實(shí)體A儲(chǔ)存NRDT以供將來(lái)交付抗抵賴使用。機(jī)制M3：帶有中介TTP的強(qiáng)制NRO和強(qiáng)制NRD機(jī)制M3的步驟機(jī)制M3見(jiàn)圖A.3，在兩個(gè)實(shí)體與TTP之間通過(guò)4個(gè)步驟建立原發(fā)抗抵賴和交付抗抵賴。在本機(jī)制中，TTP在原發(fā)者和接收者之間充當(dāng)了中間人的角色，兩個(gè)實(shí)體不再直接通信。為此，實(shí)體A發(fā)送消息給TTP作為步驟1中的一部分，TTP將其傳遞給實(shí)體B作為步驟2的一部分。在本機(jī)制中，TTP可選地生成并向原發(fā)實(shí)體發(fā)送提交抗抵賴與傳輸抗抵賴權(quán)標(biāo)。步驟1—原發(fā)者A與TTP間實(shí)體A使用密鑰a生成安全信封SENVA(z1’)，其中z1’同8.3.2規(guī)定的z1，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體A把安全信封發(fā)送給TTP以請(qǐng)求NROT；TTP驗(yàn)證安全信封來(lái)自實(shí)體A。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z1，并使用密鑰ttp計(jì)算：NROT=(text,z1,MACTTP(z1))然后將SENVA（NROT）返回給A；實(shí)體A驗(yàn)證SENVA（NROT）來(lái)自TTP。機(jī)制M3步驟2—TTP到接收者BTTP向?qū)嶓wB發(fā)送：(m,NROT)。步驟3—接收者B與TTP間由于NROT不是以安全信封的方式收到的，因此實(shí)體B需要與TTP一起來(lái)驗(yàn)證NROT，所以B在驗(yàn)證驗(yàn)證z1中Imp(m)值的正確性之后，使用密鑰b生成安全信封SENVB(NROT)和SENVB(z2’)，其中z2’同8.3.3規(guī)定的z2，但數(shù)據(jù)項(xiàng)TG為空。實(shí)體B把上述安全信封發(fā)送給TTP以要求驗(yàn)證來(lái)自A的NROT并請(qǐng)求生成NRDT；TTP驗(yàn)證SENVB(NROT)與NROT。如果兩者均有效，則TTP驗(yàn)證SENVB(z2’)來(lái)自實(shí)體B。如果驗(yàn)證通過(guò)，TTP插入數(shù)據(jù)項(xiàng)TG以完成z2，并計(jì)算：NRDT=(text,z2,MACTTP(z2))如果SENVB